Jan Willem Schoemaker is Corporate Information Security Officer & Business Continuity Manager van het Erasmus MC. Samen met Beer Franken schreef hij Informatiebeveiliging in de zorg – Werken met NEN7510. Ook is hij één van de docenten van de 5-daagse opleiding Informatiebeveiliging in de zorg (www.iir.nl/informatiebeveiliging-zorg), waar hij de module Continuïteit behandelt.
Wat is het belangrijkste kenmerk van informatiebeveiliging in de zorg?
“Structureer je aanpak. Ten eerste door het gebruiken van een ISMS (Information Security Managementsysteem). Daarnaast door risicoanalyse- en management toe te passen en op basis daarvan keuzes te maken. Het is P-D-C-A: plan, do, check, act. Het begint met beleid. Je voert een risicoanalyse uit. Daarin kijk je wat voor jouw organisatie belangrijk is. Wat zijn de bedrijfsprocessen, wat zijn de informatiesystemen, en welke risico’s loopt jouw instelling daarmee? Op basis daarvan ga je prioriteiten stellen: welke maatregelen moet ik treffen, wat moet ik verder verbeteren? Die maatregelen ga je planmatig uitvoeren. Daarbij volg je de voortgang en evalueer je de resultaten. Ook laat je interne en externe partijen controleren of je beleid effect heeft gesorteerd, bijvoorbeeld of de awareness van medewerkers is verbeterd. Als dat niet zo is moet je er verder aan werken. Dat is het belangrijkste: informatiebeveiliging is een proces, niet een eenmalige actie.”
U heeft samen met mededocent Beer Franken het praktijkboek ‘Informatiebeveiliging in de zorg’ geschreven. Wat heeft u van hem geleerd?
“Inhoudelijk zijn we erg aan elkaar gewaagd. We hebben allebei ruime ervaring met betrekking tot informatiebeveiliging in de zorg. Wij zijn ook beiden lid van de NEN-normcommissie ‘Informatievoorziening in de zorg’. Beer is wel meer ingewerkt in allerlei andere internationale normen op het gebied van informatiebeveiliging en informatievoorziening. Hij schreef er een hoofdstuk over in het handboek. Erg nuttig, want als je écht met dit onderwerp aan de slag wil gaan, dan kun je informatiebeveiliging in een breder perspectief zien. Je hebt dan echt een goed beeld van wat er speelt.”
Hoe ziet de toekomst van het EPD eruit?
“Er is nogal wat verwarring over de term ‘EPD’. Je hebt ze per instelling, maar er is ook het afgeketste landelijke EPD, dat op dit moment een doorstart krijgt. Daarbij ging het overigens om uitwisseling van gegevens, niet om opslag. Daar ben ik groot voorstander van. Het is 2013! De gemiddelde patiënt verwacht het ook. Veel mensen gaan naar verschillende zorgaanbieders. Het voordeel van uitwisseling strekt van niet steeds je klachten opnieuw hoeven te vertellen, tot het voorkomen van onnodige operaties en zelfs dodelijke vergissingen. Het voorstel van de NPCF vind ik erg interessant. Zij stellen een zogenaamd ‘Persoonlijk Gezondheidsdossier (PGD)’ voor. Patiënten kunnen zelf aangeven wie er inzicht krijgt in het dossier. Het initiatief ligt dus bij de burger. De vraag blijft in welke mate een nieuwe zorgaanbieder vertrouwt op de gegevens in het persoonlijke dossier. Als er fouten, vergissingen of interpretatieverschillen ontstaan met het gebruik van het PGD wordt het toch weer gevaarlijk. Maar het is een goed initiatief, zeker om een beeld te krijgen van het zorgverleden van een patiënt. Wat beveiliging betreft gaat het vooral om de aandachtspunten identificatie, authenticatie, autorisatie en logging. Hoe maak je je bekend bij dat systeem als zorgverlener of patiënt? Wie mag wanneer bij welke gegevens? En wie heeft er de afgelopen jaren in mijn landelijke dossier gekeken? Vragen die eerst beantwoord moeten worden voordat zo’n systeem ingevoerd kan worden.”
Zijn mobiele devices goed genoeg te beveiligen?
“Ja, mits je de goede maatregelen treft en je voldoende middelen hebt om dat te doen. Mobile Device Management helpt je mobiele devices binnen de organisatie beheren. Het is belangrijk te kijken welke devices je hebt, en wie van jouw medewerkers er één of meerdere gebruikt. Daarbinnen kun je maatregelen treffen. Enerzijds moet dat voor devices die je zelf uitgeeft en in eigen beheer hebt. Aan de andere kant moet je mobiele devices van de medewerkers zelf (BYOD of Bring Your Own Device) ook goed beveiligen als ze daarop ook zakelijk werken. Als je bijvoorbeeld een eigen iPad gebruikt komt daar een soort beveiligde container op. De werkgever beheert en beveiligt dat gedeelte. Mocht die iPad gestolen worden, dan kan de werkgever kan op afstand die gegevens verwijderen. Het is belangrijk mobiele beveiliging goed op orde te hebben. Toch is het maar één van de in totaal tientallen, misschien wel honderden aspecten van informatiebeveiliging in de zorg.”
Tijdens de opleiding Informatiebeveiliging in de zorg behandelt u het thema continuïteit. Kunt u alvast een tipje van de sluier oplichten?
“Eerst moet duidelijk worden wat het begrip ‘continuïteit’ inhoudt. Daar verschillende meningen over. Vervolgens ga ik in op specifieke, nieuwe internationale normen voor Business Continuity Management: de ISO22301 en ISO22313. Voor informatiebeveiliging heb je een ISMS; voor BCM heb je een BCMS: Business Continuity Managementsysteem. Als je dat wilt invoeren moet je bepaalde maatregelen nemen. Ook hier is het belangrijkste weer dat je een gestructureerde aanpak hanteert. Tot slot bespreek ik een aantal praktische casussen. Ook over een specifieke calamiteit die we bij het Erasmus MC hebben gehad. Daarbij ga ik in op wat er is gebeurd, hoe het is opgelost en wat de leermomenten waren. Ik denk dat vooral die twee nieuwe ISO-normen erg leerzaam zijn. Ze zijn nog niet zo breed bekend in Nederland, zeker niet binnen de zorginstellingen. Ze zijn uitstekend geschikt als kapstok bij de invoering van BCM.”
Auteur en opleiding: Jan Willem Schoemaker is docent van de opleiding Informatiebeveiliging in de zorg. Als lezer van Digitalezorg.nl mag u met een speciale korting van 350 euro deelnemen aan deze opleiding! Meld u hiervoor online aan en vermeld kortingscode 68075DZ.
